對于越來越多的企業來說， SaaS已經成為訪問重要業務應用程序的主要手段了。從業務的角度來看，這個策略是有意義的，因為它有一些潛在的好處:節省成本、提高敏捷性和更容易的可伸縮性等等。

 

然而，任何基于云的產品都會有安全風險。一個組織該如何確定其SaaS提供商的安全規定是否符合自己的標準?

 

“我們面臨的挑戰是該如何了解SaaS供應商正在采取哪些措施來保護其基礎設施、變更管理程序和事件響應流程。”研究公司Gartner的副總裁兼分析師Patrick Hevesi說。

 

根據Gartner 2019年的一份報告，并非所有SaaS提供商都對其安全性保持透明。報告稱，企業需要了解將重要用戶數據放到云服務中所承擔的風險，以及它們必須對云服務提供商所擁有的信任。

 

SaaS提供商也很容易受到困擾其他組織的許多相同的惡意軟件和黑客攻擊。這些威脅可能會影響到使用這些服務的公司。你可以將你的SaaS提供商評估過程集中在以下幾個方面以最小化可能面臨的風險。

 

 

高管們擔心的一個問題就是安全補丁。“通常情況下，SaaS提供商在修補方面經常會滯后，特別是如果他們是多租戶的，而你的組織正好是眾多細分服務客戶之一時。”Asurion公司的高級安全經理Bernie Pinto說。Asurion是一家為智能手機、平板電腦和其他產品提供保險的公司。

 

 

通信設備公司美國西門子的首席網絡安全官Kurt John說，在評估SaaS提供商時，企業需要了解的主要概念是安全控制責任的轉變。使用SaaS產品要求安全團隊關注其組織的安全環境與SaaS提供者的安全環境之間的接口。“你會希望牢牢掌握供應商的安全特性將如何與你的企業信息安全政策保持一致，”他表示。“任何差距都應該在進程的早期解決。”

 

John看到了非常重要的三個關鍵領域:

 

·身份和訪問管理(IAM):可能存在無法將現有企業IAM平臺與SaaS提供商提供的產品集成的問題;身份驗證策略沖突，從可用性的角度來看，這可能導致混亂和技術問題;SaaS提供商缺乏對單點登錄(SSO)的支持。

 

·加密和密鑰管理:SaaS提供商會堅持對加密進行控制，允許其隨時訪問客戶信息，并將數據存儲在公司安全范圍之外，這增加了對充分加密管理的依賴。

 

·安全監控:這里的關注點包括無法從SaaS環境中訪問安全事件日志數據，這限制了潛在安全風險的透明度。“需要克服的挑戰之一是確保日志不會被操縱。”John說。“最好的選擇是與SaaS提供商有足夠的數字連接，可以將日志數據實時傳輸到現有的安全運營中心。”John說。“這提升了整體的視角，并允許你將本地的安全運營能力擴展到云端。”

 

 

公司還應密切注意隱私政策或服務承諾條款，供應商需要承諾不共享個人信息。“雖然這聽起來很有希望，但也會是一個明顯的疏漏。”IT咨詢公司Ascent Solutions的網絡安全策略師Kayne說。

 

McGladrey說，如果供應商“沒有聲明不會出售你的業務數據，或者出售關于你的組織為‘市場研究’或類似目的使用該服務的假名匯總數據”，這就是一個危險信號。如果沒有說明，請確認提供商不會轉售你的數據。

 

 

另一個令人擔憂的問題是，隱私政策是否沒有包含遵守特定法規的聲明，如《一般數據保護條例》(GDPR)或是《加州消費者隱私法》(CCPA)，McGladrey說。“這些都是公認的，但如果遺漏了則可能表明SaaS提供商沒有跟上法律和監管的趨勢。”他說。

 

“SaaS供應商應該在數據主權和可選本地化方面保持領先，”McGladrey補充道。“盡管這對于選擇SaaS解決方案的跨國組織來說尤為重要，但那些局限于單一地理區域的組織也可能希望避免尷尬的情況，比如美國人的個人信息被有意地處理和存儲在外國數據中心。”

 

 

營銷技術提供商Epsilon的首席信息官Robert Walden表示，從安全、合規和隱私的角度來看，歸根結底一切都是與數據有關。Walden說:“了解通過SaaS解決方案存儲或傳輸的數據類型、誰有權訪問數據、誰擁有數據、如何保護數據、以及在發生安全漏洞時誰應該負責”，這些都是很重要的。

 

“許多公司甚至不知道那些不經意間被存儲在SaaS解決方案中的敏感數據，也不知道誰有權訪問這些數據，”Walden說。“此外，公司往往會不明白，如果在SaaS解決方案的建立過程中執行了標準的點擊式協議，那么供應商往往就會擁有數據的所有權。”

 

 

從數據保護的角度來看，許多公司沒有意識到，雖然SaaS協議可能有災難恢復條款，但這些條款并不包括數據丟失或損壞的情況，Walden說。

 

 

在采購過程中，安全和風險團隊的一名成員應該始終與采購團隊保持聯系，Pinto說。“采購團隊應該與安全團隊步調一致，讓他們在過程中量化風險。大多數采購團隊仍然沒有意識到身份和訪問管理是一個專業領域。”

 

信息安全團隊應該出席所有關鍵的討論，以確保涉及數據安全的非技術主題能夠得到解決，John說。“在我們公司，未解決的網絡安全問題可能會把供應商排除在外。”

 

 

要討論的主題還需要包括SaaS提供者可能使用的子服務組織。“在簽訂任何合同之前，解決這個問題是至關重要的，”John說。“這可能會對組織的任何數據存儲位置要求都產生影響。”

 

在評估SaaS安全報告時，“務必驗證報告范圍是否包括了作為合同一部分的位置和子服務，”John說。這需要對合同和適用的安全報告進行交叉檢查，以確保審計結果的覆蓋范圍和可靠性。

 

討論還應該涵蓋SaaS提供商所提供的確保法規遵從性的方法。“在解決這個問題時，重要的是要了解供應商的哪些特性能夠支持法規遵從性和任何的相關活動，比如電子發現、數據隱私和事件響應報告，”John說。

 

 

IT和安全應該在免費SaaS試用期間測試功能，包括最大容量和峰值的使用率。“應該有幾個管理員和超級用戶同時使用這個工具，并且在同一個窗口中評估性能，”Pinto說。

 

同時，測試并發和多進程活動。“用戶應該認識到程序在忙于計算、移動信息和創建報告時的響應能力，”Pinto說。

 

作為內部測試的一部分，“還需要評估關鍵安全流程與SaaS提供商的解決方案集成的能力，”John說。“這將有助于確定可能需要的努力程度和成本預測，以確保解決方案實施后的安全性。”

 

 

重要的是要求和審查供應商最近的第三方審計報告，包括任何可以確認安全控制的適用性和有效性的滲透測試結果，John說。“要求提供國家或國際認證的證據也有助于確定組織企業級控制措施的成熟度。”

 

版權聲明：本文為企業網D1Net編譯，轉載需注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。